Data Act har börjat gälla – detta bör ni ha koll på

20 oktober, 2025

En viktig förändring att hålla koll på inom tech-juridikens område är att EU:s nya Data Act har börjat gälla under hösten. Lagens syfte är att stärka den europeiska dataekonomin och skapa en mer konkurrenskraftig marknad genom att göra data, och särskilt industridata, mer tillgängliga och användbara. Bakgrunden är den snabba ökningen av uppkopplade produkter – det som brukar kallas sakernas internet (IoT), där allt från uppkopplade bilar och hushållsapparater till medicinsk utrustning och industrimaskiner genererar stora mängder data med potential att återanvändas. Genom Data Act säkerställs en rättvis fördelning av datavärdet mellan aktörerna genom att det tydliggörs vem som får använda vilken data och på vilka villkor. För företag, myndigheter och organisationer som erbjuder eller använder uppkopplade produkter innebär detta såväl nya rättigheter som skyldigheter att förhålla sig till, och de som ännu inte har anpassat sig efter reglerna bör se över detta då brott mot regelverket kan innebära kännbara sanktioner.

Data Act reglerar bland annat hur användare (vilket kan vara både företag och privatpersoner som äger, leasar eller hyr en uppkopplad produkt) ska få tillgång till den data som genereras när produkten används. Användaren ges också rätt att dela denna information vidare om de så önskar. Det är datainnehavaren (vilket vanligtvis är tillverkaren av den uppkopplade produkten eller tillhandahållaren av den tillhörande tjänsten) som är skyldig att lämna ut datan till användaren eller till en tredje part på användarens begäran. Exempelvis ska en person som äger en uppkopplad bil kunna få tillgång till den data som samlas in om körmönster, bränsleförbrukning eller underhållsstatus och kunna dela denna information med en verkstad eller en försäkringsleverantör om personen vill. De här företagen benämns i lagen som tredje parter och kan alltså få tillgång till genererade data av uppkopplade produkter på användares begäran. När man talar om data i datalagen omfattas all rådata och förbehandlade data som genereras vid användning av produkten eller tjänsten. Detta gäller både personuppgifter och icke-personuppgifter och tanken är att användaren inte ska vara beroende av datainnehavaren. I sammanhanget är det dock värt att notera att när den rådata som omfattas av Data Act utgör personuppgifter, är även annan relevant lagstiftning, såsom GDPR, fortsatt tillämplig.

Lagen ställer också upp regler för de situationer där ett företag har en rättslig skyldighet att göra data tillgängliga för ett annat företag. Framför allt regleras att villkoren för delning måste vara rättvisa, rimliga och icke-diskriminerande. Om ett företag är skyldigt att dela data med en annan part får det alltså inte ta ut en ersättning som är så hög att den mottagande parten i praktiken inte har råd att få tillgång till informationen. Små och medelstora företag får exempelvis inte debiteras mer än de kostnader som uppstår för att göra uppgifterna tillgängliga för att det ska anses rimligt. Ett diskriminerande villkor kan till exempel vara att ett företag erbjuder vissa aktörer data till ett betydligt lägre pris eller med bättre tillgångsvillkor än andra konkurrenter i samma situation, vilket snedvrider konkurrensen. Syftet är att skapa en mer rättvis och transparent dataekonomi där tillgången till data inte avgörs av marknadsmakt.

Utöver de ovan nämnda situationerna omfattar lagen även bland annat en möjlighet för offentliga myndigheter att få tillgång till data från privata aktörer vid exceptionella behov. Exceptionella behov kan till exempel uppstå vid naturkatastrofer eller större samhällsstörningar, där tillgång till data från privata aktörer kan vara avgörande för att skydda befolkningen eller hantera krisen.

Lagen tar också sikte på molntjänster och andra databehandlingstjänster, där exempelvis hinder som avgifter och tekniska låsningar successivt ska minskas för att underlätta byte av leverantör. Vidare innehåller regelverket skydd mot olagliga åtkomstförsök från myndigheter i tredjeländer samt betonas vikten av gemensamma standarder och interoperabilitet, så att data kan flöda smidigt mellan aktörer.

Medlemsstaterna ska utse särskilda tillsynsmyndigheter med ansvar för att se till att regelverket efterlevs i praktiken. Det återstår att se vilken den svenska tillsynsmyndigheten blir, men det ligger nära tillhands att ansvaret, i vart fall på sikt, landar hos den nya digitaliseringsmyndigheten som bildas efter en sammanslagning mellan Digg och PTS.

Författare: Paulina Svensson och David Schreiber

Om ni har frågor om Data Act eller annan lagstiftning kopplad till digitalisering, dataskydd, AI m.m. och vad detta kan tänkas innebära för er verksamhet är ni välkomna att höra av er till David Schreiber.

Cookie	Varaktighet	Beskrivning
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.